Introdução
Este documento descreve o uso de caracteres homogêneos em ataques avançados de phishing e como estar ciente deles ao usar filtros de mensagens e conteúdo no Cisco Email Security Appliance (ESA).
Ataques avançados de phishing Homoglyph
Nos ataques avançados de phishing atuais, os e-mails de phishing podem conter caracteres homogêneos. Um homólifo é um caractere de texto com formas que são quase idênticas ou semelhantes entre si. Pode haver URLs incorporados em e-mails de phishing que não serão bloqueados por filtros de mensagem ou conteúdo configurados no ESA.
Um exemplo de cenário pode ser o seguinte: o cliente deseja bloquear um e-mail que contém a URL de www.pɑypal.com. Para fazer isso, é gravado um filtro de conteúdo de entrada que procurará a URL que contém www.paypal.com. A ação deste filtro de conteúdo seria configurada para remover e notificar.
O cliente recebeu um exemplo de um e-mail contendo: www.pɑypal.com
O filtro de conteúdo conforme configurado contém: www.paypal.com
Se você observar o URL real via DNS, perceberá que eles resolvem de forma diferente:
$ dig www.pɑypal.com
; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A
;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400
;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com
; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8
;; QUESTION SECTION:
;www.paypal.com. IN A
;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128
;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.
;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73
;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470
A primeira URL usa um homólifo da letra "a" do formato unicode.
Se você olhar atentamente, você pode ver que o primeiro "a" no paypal é realmente diferente do segundo "a".
Esteja ciente ao trabalhar com filtros de mensagens e conteúdo para bloquear URLs. O SEC não consegue distinguir entre caracteres homogêneos e caracteres alfabéticos padrão. Uma forma de detectar e evitar corretamente o uso de ataques de phishing homogêneos é configurar e ativar a filtragem de URL e de OF.
O Irongeek fornece um método para testar os homoglifos e criar URLs mal-intencionados de teste: Gerador de ataque homoglyph
Introdução detalhada em ataques de phishing homoglyph, também da Irongeek: Out of Character: Use of Punycode and Homoglyph Attacks to Obfuscate URLs for Phishing